- Google đã xử lý một cuộc tấn công DDoS ở quy mô chưa từng có, với 398 triệu yêu cầu mỗi giây.
- Trong 2 phút diễn ra cuộc tấn công, số lượng yêu cầu phát sinh còn nhiều hơn lưu lượng truy cập của Wikipedia trong 1 tháng.
- Cuộc tấn công này xảy ra do Rapid Reset, một lỗ hổng mới trong HTTP/2.
- Nó lợi dụng cơ chế ghép kênh luồng và chức năng hủy yêu cầu theo cách HTTP/2 hoạt động.
- Một client có thể tạo ra số lượng yêu cầu gần như vô hạn, miễn là băng thông mạng cho phép.
- Thông thường, tấn công DoS tầng 7 bị giới hạn trong việc một client tạo ra nhiều yêu cầu do phụ thuộc vào RTT và số lượng kết nối đồng thời.
- Nhưng cách này cho phép tạo yêu cầu cực nhanh bằng quy trình hủy ngay sau khi tạo yêu cầu.
- Khác với các cuộc DDoS kỷ lục trước đây, lỗ hổng này cho phép thực hiện tấn công hiệu quả chỉ với số lượng thiết bị ít hơn.
- Lỗ hổng này được ghi nhận tại CVE-2023-44487 với điểm CVSS 7,5, ở mức nghiêm trọng.
- Các nhà cung cấp khác như Cloudflare và AWS cũng lần lượt hứng chịu các cuộc tấn công DDoS ở mức 201 triệu RPS và 155 triệu RPS.
- Cloudflare cho biết cuộc tấn công được thực hiện bởi một botnet hơn 20.000 máy.
- Trong khi đó, các cuộc DDoS cực lớn trước đây thường do botnet từ hàng chục nghìn đến hàng triệu máy tạo ra.
- Các web server như Nginx và Caddy đang nhanh chóng phát hành bản vá.
1 bình luận
Gần 400 triệu request mỗi giây... thật sự quá đáng sợ.
Đây là lỗ hổng trong cách triển khai HTTP/2, và việc Google, Cloudflare, AWS cùng những bên khác giảm thiểu được nó cũng rất đáng nể.
Điều khiến tôi thấy kỳ lạ nhất có lẽ là HAProxy đã giải quyết vấn đề này từ năm 2018.
Dù khi đó họ không xác định và vá đúng lỗ hổng này, nhưng khi xem lại sau đó thì vấn đề được nêu ra vào năm 2018 lại chính là ý tưởng để giải quyết lỗ hổng này.
Dù sao thì, nếu bạn đang dùng web server, hãy cập nhật lên phiên bản đã khắc phục lỗ hổng này.